今年早些时候,我们的一个客户WordPress网站感染了恶意软件。特别令人震惊的是,在访问网站的人看来,这显然并不明显。然而,爬行的网站,显然是有什么不对劲的各种网页上的网站。由于恶意软件的存在,谷歌开始将网站上的网页从名单上删除。将我们的备份作为修复是不可行的,因为很明显,恶意软件已经在网站上存在了至少几个星期。来自潘玛社区在帮助我们设计一个Linux脚本来扫描站点、识别和修复受感染的代码方面是非常宝贵的。教训是什么?没有保持WordPress核心和插件的最新是导致恶意软件的漏洞的来源。我们现在让我们的客户用管理好的WordPress提供者托管他们的站点,这些提供者处理这些关键的更新。

最近,我们的同事以斯拉亚历山大卢西德丘斯分享了他的公司对WordPress网站使用的安全措施清单,以及对受感染网站使用的纠正措施。很明显,防止感染最重要的措施是保持WordPress核心和插件的更新。下面我分享以斯拉的建议:

  1. 安装文字围栏插件和运行安全扫描,如果你还没有这样做。
  2. 使用强密码. 字典里的任何密码都是无用的。
  3. 如果你的网站有问题,那么你需要强化你的文字.
  4. 如果您的网站已被感染,以下是补救感染的步骤:
    1. 通过Wordfence删除所有感染的文件
    2. 更改用户登录(将admin更改为其他内容)
    3. 更改DB密码
    4. 更改FTP密码
    5. 更改WP配置(https://api.wordpress.org/secret-key/1.1/salt/)
    6. 删除未使用的插件
    7. 删除未使用的主题
    8. 删除垃圾邮件评论
    9. 伊塞姆斯安全(https://wordpress.org/plugins/better-wp-security/)
    10. 运行漏洞扫描程序

WordPress网站的激增使其成为黑客和恶意软件攻击的主要目标。一个被感染的网站可能会对你在谷歌的登录产生影响。清理场地很费时。如果你还没有更新你的核心文件和插件,现在就花点时间吧。

这篇文章有用吗?分享吧!